PHP開発における保険予防の知識
Jun 13, 2016 pm 01:06 PM
PHP 開発におけるセキュリティ防止の知識
PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。多くの場合、XSS は SQL インジェクションの最も大きな打撃を受ける領域です。ここでは、システム セキュリティと比較して、PHP セキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。
PHP コンパイル時のセキュリティ
Suhosin パッチのインストールを推奨し、セキュリティ パッチもインストールする必要があります
php.ini セキュリティ設定
Register_global = オフ
magic_quotes_gpc = オフ
display_error = オフ
log_error = オン
#allow_url_fopen = オフ
expose_php = オフ
open_basedir =
セーフモード = オン
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =
DB SQL 前処理
mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが一重引用符の代わりに 0xbf27 を使用できることです。0xbf27 は GBK エンコードでは有効な文字ではないため、addslashesこれは、0xbf5c27 を有効なマルチバイト文字にするだけです。この場合、0xbf5c は依然として一重引用符とみなされます (詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。
準備 + 実行(PDO)
ZendFramework は、mysql
のみに使用できる mysql_real_escape_string とは異なり、DB クラスの quote または quoteInto を使用できます。
ユーザー入力の処理
HTML タグを保持する必要がない場合は、次のメソッドを使用できます
ストリップタグ、文字列
内のすべての HTML タグを削除します
htmlspecialchars、文字「<」、「>」、「;」、「'」
のみをエスケープします
htmlentities、すべての HTML をエスケープ
HTML タグを保持する必要がある場合は、次のツールを検討できます:
HTML Purifier: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。
PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します
htmllawed: HTML を浄化およびフィルタリングするための PHP コード
ファイルをアップロード
is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。
ZF フレームワークでは、File_upload モジュール
の使用を検討できます。
セッション、Cookie、フォームのセキュリティ処理
重要な情報は、送信する前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。
<input type="hidden" name="H[name]" value="<?php echo $Oname?>"/><input type="hidden" name="H[age]" value ="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret) ?<入力タイプ="hidden" name="hash" value="<?php echo $sign?>"" />
POST から戻った後にパラメータを確認します
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "非表示のフォームデータが変更されました";
}
PHP セキュリティ検出ツール (XSS および SQL 挿入)
Wapiti - Webアプリケーションセキュリティ監査(Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃検出ツール)
アン・ヤン/使い方:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS
Pixy: PHP 用 XSS および SQLI スキャナー (Pixy - PHP ソース コード欠陥分析ツール)
アン・ヤン: apt-get install default-jdk

人気の記事

人気の記事

ホットな記事タグ

メモ帳++7.3.1
使いやすく無料のコードエディター

SublimeText3 中国語版
中国語版、とても使いやすい

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

ドリームウィーバー CS6
ビジュアル Web 開発ツール

SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)

ホットトピック











Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド

PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法
